グループの Auditctl カスタムルール

グループの Auditctl カスタムルール

CentOS8を実行しており、システムには4つのメイングループがあります。グループごとにファイルの変更をフィルタリングするルールを作成しようとしています。たとえば、グループオペレーターがPHP設定を変更した場合、ausearchを使用して検索すると、次のように表示されます。変更されたファイルそしてそれを改造するために何を使ったのか現在、ファイルの変更を確認するために次のルールを使用しています:

-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file

ここで、6450 は私の Operators グループの gid です。ただし、このルールは次のもののみを返します。

type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274): auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit res=yes

どのファイルが変更され、何が変更に使用されたかを追加する方法はありますか? または、少なくともグループのどのメンバーが変更したかを教えてください。 よろしくお願いします。

関連情報